RODO: Prawo bez nadzoru? Luksemburski Watchdog ds. Ochrony Danych odmawia pokazania swoich zębów amerykańskim firmom. noyb składa pozew do sądu

sty 25, 2021

PKBR: Prawo bez władzy? Luksemburski Inspektor Ochrony Danych odmawia pokazania swoich zębów amerykańskim firmom. Noyb prowadzi sprawę sądową.

W dniu dzisiejszym noyb złożył odwołanie od dwóch decyzji luksemburskiego organu ochrony danych osobowych (CNPD) do luksemburskiego sądu administracyjnego w podstawowej sprawie: organ oddalił dwie skargi złożone przeciwko amerykańskim administratorom danych, Apollo i RocketReach. CNPD wyraźniepotwierdziła, że ogólne rozporządzenie o ochronie danych (PKBR) ma zastosowanie do tych przedsiębiorstw spoza UE. Jednakże CNPD uznała, że nie jest w stanie wyegzekwować GDPR od tych amerykańskich administratorów danych, pomimo wielu możliwości egzekwowania przepisów w UE. Decyzje te zasadniczo podważają stosowanie PKBR w odniesieniu do wszystkich przedsiębiorstw zagranicznych na rynku UE - co było kluczową obietnicą prawa, gdy zostało ono wprowadzone w 2018 r.

Wstępne skargi do CNPD: Skarżący, mieszkaniec Luksemburga, odkrył, że jego dane były przetwarzane przez Apollo i RocketReach, dwie firmy z siedzibą w USA, które zbierają i komercjalizują dane osobowe dostępne online. Widząc to, skarżący próbował bezskutecznie korzystać z przysługujących mu w ramach GDPR praw dostępu (art. 15) i usunięcia danych (art. 17). Ponieważ dwaj administratorzy danych nie odpowiedzieli odpowiednio na jego wniosek o skorzystanie z praw GDPR, skarżący złożył skargi zarówno przeciwko Apollo, jak i RocketReach przed CNPD. Po kilku przypomnieniach ze strony skarżącego luksemburski organ ochrony danych oddalił skargę jedynie na tej podstawie, że administratorzy danych nie mieli przedstawiciela w UE (co samo w sobie stanowi naruszenie prawa do PKBR), a zatem nie można było nałożyć na tych administratorów danych żadnych skutecznych środków egzekucyjnych. Nie przeprowadzono żadnego istotnego dochodzenia ani nie podjęto żadnej decyzji.

Osłabienie międzynarodowego zasięgu PKBR-u. W związku z tym nie można było nałożyć żadnych skutecznych środków egzekucyjnych na tych administratorów danych: Decyzja luksemburskiego organu ochrony danych o oddaleniu skarg tylko dlatego, że administrator danych nie ma siedziby w UE, wyraźnie podważa międzynarodowy zasięg GDPR, który był kluczową obietnicą dla obywateli UE w momencie jego wprowadzenia. Prawo wyraźnie obejmuje wszystkie przedsiębiorstwa, które działają na rynku europejskim - niezależnie od tego, gdzie mają swoją siedzibę.

"Jeśli organy ochrony danych odmawiają wyegzekwowania PKBR za każdym razem, gdy przedsiębiorstwo nie jest obecne w UE, jest to tylko sygnał dla przedsiębiorstw, aby pozostały za granicą i omijały prawo... To jest wersja PKBR, która ucieka od morderstwa " - Romain Robert, prawnik noyb.eu

Egzekwowanie PKBR. Nawet jeśli firma nie jest obecna w UE, to doskonale można prowadzić postępowanie i egzekwować postanowienia PKBR. Jeśli firma nie składa wniosków, zwykle po prostu rezygnuje z prawa do bycia wysłuchanym. Istnieje kilka sposobów proceduralnych egzekwowania decyzji wobec podmiotu zagranicznego: od tradycyjnych narzędzi, takich jak zamrażanie aktywów u osób trzecich (np. banków lub klientów), po bardziej nowoczesne podejście, takie jak blokowanie strony internetowej. Organy ochrony danych powinny wykorzystać wszystkie możliwości, jakie daje im prawo krajowe, aby egzekwować swoje decyzje, zamiast rezygnować z praw podstawowych

"NPD ma obowiązek zapewnić ochronę praw indywidualnych w ramach PKBR. Ma ona również środki na to, by zapewnić ochronę zagranicznym przedsiębiorstwom, począwszy od zamrożenia aktywów w UE, aż po zablokowanie usługi. Egzekwowanie prawa UE wobec przedsiębiorstw i osób, które nie współpracują lub nie ukrywają się za granicą, nie jest niczym nowym dla organów regulacyjnych i sędziów. Ukrywanie się w innej jurysdykcji jest tak samo stare jak granice. Niemniej jednak istnieją narzędzia do prowadzenia sprawy. Obecnie chodzi o to, by zagwarantować, że CNPD rzeczywiście wykorzysta w przyszłości swoje uprawnienia wykonawcze i nie będzie już odrzucać sprawy tylko dlatego, że jej wykonanie byłoby zbyt trudne lub uciążliwe" -Catherine Warin, prawnik reprezentujący Noyb w procedurze

Inactive DPAs: Ta sprawa pokazuje, że niektóre organy ochrony danych nadal śpią na swoich obowiązkach. Nie powinny i nie ujdzie im to na sucho. Może to być początek serii działań przeciwko organom ochrony danych, które pozostają nieaktywne pomimo kluczowej roli, jaką odgrywają w zapewnianiu przestrzegania unijnego prawa o ochronie danych. Nikt nie będzie uważnie śledził takich przypadków i monitorował skutecznego egzekwowania PKBR przez organy ochrony danych

"NKDPD wyraźnie potwierdziła, że PKBR ma zastosowanie do tych przedsiębiorstw, ale postanowiła nie podejmować działań, twierdząc, że nie może egzekwować żadnej decyzji. Pozostawiło to skarżącego bez żadnej procedury umożliwiającej mu egzekwowanie jego praw podstawowych. NBCZ uznała, że jest uprawniona po prostu do odrzucenia sprawy. Na szczęście PKBR przewiduje, że osoby fizyczne powinny dysponować skutecznym środkiem odwoławczym i mogą zaskarżyć decyzje organów ochrony danych w sądach. Teraz zwrócimy się do sądu o wykonanie pracy, której CNPD odmówiła" - Romain Robert, prawnik noyb.eu